RGPD : Comment réaliser un PIA ?
Consultant | DPO Certifié
L’article 35 du RGPD impose aux responsables de traitement de réaliser des analyses d’impact relatives à la protection des données – plus communément connues sous le nom de PIA (Privacy Impact Assessment) – pour certains de leurs traitements.
En tant que DPO, RSSI ou même métier, il est donc plus que probable que vous soyez amené à participer à la réalisation d’un PIA.
Pour cette nouvelle saison des Tutoriaux d’Adequacy, je m’attaque à ce beau sujet qu’est la réalisation d’un PIA.
Qu’est ce qu’un PIA et pourquoi l’exercice est considéré comme difficile ?
Le PIA est un outil nécessaire à la conformité d’un traitement de données personnelles à risque pour un individu. La difficulté rencontrée par nos interlocuteurs réside à la fois dans l’identification des traitements pour lesquels la réalisation d’un PIA est obligatoire et la méthode à utiliser pour réaliser le dit PIA.
Comment identifier les traitements pour lesquels le PIA est obligatoire ?
Le PIA est donc obligatoire pour les traitements qui comportent au moins deux des neufs critères suivants :
- L’évaluation ou scoring (y compris le profilage) ;
- Une décision automatique avec effet légal ou similaire ;
- La surveillance systématique ;
- La collecte de données sensibles ou données à caractère hautement personnel ;
- La collecte de données personnelles à large échelle ;
- Le croisement de données ;
- Concerne des personnes vulnérables ;
- Un usage innovant dont utilisation d’une nouvelle technologie ;
- L’exclusion du bénéfice d’un droit ou contrat
Quelle méthode pour réaliser le PIA ?
Dans cette vidéo je vous expose les 4 grandes étapes de la Méthode “EBIOS” établie par l’ANSSI en 1995 et adoptée par la CNIL en 2015 :
- Etape 1 : L’étude du Contexte
- Etape 2 : L’étude des principes fondamentaux
- Etape 3 : L’étude des risques liés à la sécurité des données
- Etape 4 : Validation du PIA
Le RGPD ne se limite pas à la réalisation des PIA
Dernières actualités
Anticiper l’entrée en application de la directive NIS II et du futur IA ACT à la lumière du RGPD
📅 Calendrier de ces différentes normes européennesAlors que le RGPD s’applique depuis plus de 5 ans, la nouvelle directive 2022/2555 « NIS II » sera applicable à partir du 18 octobre 2024. Le règlement sur l’intelligence artificielle « IA Act », quant à lui, devrait...
Interview de Bénédicte Wautelet, Directrice Juridique et DPO du Groupe Figaro
Dans quel contexte avez-vous fait appel à Adequacy ? En tant que groupe média, nous avons compris, avant même son entrée en vigueur, que le RGPD allait redéfinir en profondeur la façon que nous avions de collecter et traiter les données et qu’il...
Rencontre avec Jean Marc Da Piedade, DPO de Goussainville
Le temps d'un café, partez à la rencontre des métiers de la privacy en compagnie d'Anne-Angélique de Tourtier. L'instant Privacy, c'est l'occasion de partager avec vous quelques réflexions, avec un invité de choix, pour appréhender les contours, les...